ViewState Decoder
Bruno Kenj | ASP.NET
Salve desenvolvedores,
o assunto é: SEGURANÇA. Você acha que desenvolve aplicativos Web seguros? Pois existem algumas ferrametas que nos auxiliam para fazermos este tipo de validação. Num futuro próximo, estarei fazendo um post mais completo sobre segurança no ASP.NET 2.0 e estarei postando também a dica de vários aplicativos que podem nos auxiliar nessa tarefa de suma importância.
ViewState Decoder 2.1
aplicativo desenvolvido pelo Fritz Onion, está na versão 2.1, suportando o ASP.NET 2.0. Com ele, conseguimos quebrar o ViewState. Fazendo um breve resumo, devemos tomar muito cuidado com o tipo de dados que estaremos armazenando no ViewState, que faz parte integral do ciclo de vida do ASP.NET, armazenando o valor no campo hidden.
Para dar mais flexibilidade, o ViewStateEncryptionMode por padrão é Auto, mas podemos nesse caso, colocar segurança em páginas individuais, através do método Page.RegisterRequiresViewStateEncryption(). Se tentarmos visualizar agora o ViewState, o aplicativo vai informar que o formato de serialização não está correto. Cuidado, pois ao aplicar em todas as páginas, o aplicativo pode ficar menos performatico.
O assunto é bastante extenso, pois temos que também tomar alguns cuidados com as validações de entrada, ou até mesmo tirar o ViewState da página, armazenando-o em sessão ou em banco, sobrescrevendo a propriedade PageStatePersister da página.
Nota: alguns controles, como o GridView ou DetailsView, fazem requisições de ViewState encriptados para os dados que são armazenados na propriedade DataKeyNames.
abraços,
Formado em Analise de Sistemas, Especialista em Desenvolvimento Microsoft, Instrutor Oficial Microsoft, Consultor, Líder do grupo de usuários 
